<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
@font-face
        {font-family:"Trebuchet MS";
        panose-1:2 11 6 3 2 2 2 2 2 4;}
@font-face
        {font-family:trebuchet;}
@font-face
        {font-family:Verdana;
        panose-1:2 11 6 4 3 5 4 4 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0in;
        margin-bottom:.0001pt;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
p.msonormal0, li.msonormal0, div.msonormal0
        {mso-style-name:msonormal;
        mso-margin-top-alt:auto;
        margin-right:0in;
        mso-margin-bottom-alt:auto;
        margin-left:0in;
        font-size:11.0pt;
        font-family:"Calibri",sans-serif;}
span.EmailStyle18
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
span.EmailStyle19
        {mso-style-type:personal;
        font-family:"Calibri",sans-serif;
        color:windowtext;}
span.EmailStyle20
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-size:10.0pt;}
@page WordSection1
        {size:8.5in 11.0in;
        margin:1.0in 1.0in 1.0in 1.0in;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-US" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif;color:#1F497D">If 7.1.2.3.f is ignored, it is less confusing, but there is still potential ambiguity as to what ‘authenticating a server accessible through the Internet’
 means. It would be best if the BRs clearly specified the technical characteristics of identifying a certificate that is ‘in-scope’.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D">Thanks guys.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="color:#1F497D"><o:p> </o:p></span></p>
<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Trebuchet MS",sans-serif;color:#404040">Jeff Ward, CPA, CGMA, CITP, CISA, CISSP, CEH</span></b><span style="font-size:10.0pt;font-family:"Trebuchet MS",sans-serif;color:#404040"><br>
Office Managing Partner & National Leader Third Party Attestation (SOC/WebTrust/Cybersecurity)<br>
314-889-1220 (Direct)    347-1220 (Internal)<br>
314-889-1221 (Fax)</span><span style="font-size:12.0pt;font-family:"Times New Roman",serif;color:#1F497D"><br>
</span><span style="font-size:10.0pt;font-family:"Trebuchet MS",sans-serif;color:#ED1A3B"><a href="mailto:jward@bdo.com"><span style="color:#ED1A3B">jward@bdo.com</span></a></span><span style="font-size:12.0pt;font-family:"Times New Roman",serif;color:#1F497D"><br>
<br>
</span><b><span style="font-size:10.0pt;font-family:"Trebuchet MS",sans-serif;color:#404040">BDO</span></b><span style="font-size:12.0pt;font-family:"Times New Roman",serif;color:#1F497D"><br>
</span><span style="font-size:10.0pt;font-family:"Trebuchet MS",sans-serif;color:#404040">101 S Hanley Rd, #800<br>
St. Louis, MO 63105 <br>
UNITED STATES<br>
314-889-1100</span><span style="font-size:12.0pt;font-family:"Times New Roman",serif;color:#1F497D"><br>
</span><u><span style="font-size:10.0pt;font-family:"Trebuchet MS",sans-serif;color:#ED1A3B"><a href="http://www.bdo.com"><span style="color:#ED1A3B">www.bdo.com</span></a></span></u><span style="font-size:12.0pt;font-family:"Times New Roman",serif;color:#1F497D"><br>
<br>
</span><i><span style="font-size:10.0pt;font-family:trebuchet;color:green">Please consider the environment before printing this e-mail</span></i><span style="color:#1F497D"><o:p></o:p></span></p>
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b>From:</b> Tim Hollebeek [mailto:tim.hollebeek@digicert.com]
<br>
<b>Sent:</b> Thursday, April 12, 2018 12:26 PM<br>
<b>To:</b> Tim Hollebeek <tim.hollebeek@digicert.com>; CA/Browser Forum Public Discussion List <public@cabforum.org>; Ryan Sleevi <sleevi@google.com>; Jeff Ward <jward@bdo.com><br>
<b>Subject:</b> RE: [cabfpub] Applicability of BRs to Client Authentication certificates<o:p></o:p></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">… even WITHOUT 7.1.2.3.f …<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div style="border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt">
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b>From:</b> Public [<a href="mailto:public-bounces@cabforum.org">mailto:public-bounces@cabforum.org</a>]
<b>On Behalf Of </b>Tim Hollebeek via Public<br>
<b>Sent:</b> Thursday, April 12, 2018 1:25 PM<br>
<b>To:</b> Ryan Sleevi <<a href="mailto:sleevi@google.com">sleevi@google.com</a>>; CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org">public@cabforum.org</a>>; Jeff Ward <<a href="mailto:jward@bdo.com">jward@bdo.com</a>><br>
<b>Subject:</b> Re: [cabfpub] Applicability of BRs to Client Authentication certificates<o:p></o:p></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">I think there’s a  problem with the overview, even with 7.1.2.3.f.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">Clearly, if your certificate *<b>can</b>* be used for server authentication, you shouldn’t be able to get out of the BRs merely because you do not use or intend to use it that way.<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<p class="MsoNormal">-Tim<o:p></o:p></p>
<p class="MsoNormal"><o:p> </o:p></p>
<div style="border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt">
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0in 0in 0in">
<p class="MsoNormal"><b>From:</b> Public [<a href="mailto:public-bounces@cabforum.org">mailto:public-bounces@cabforum.org</a>]
<b>On Behalf Of </b>Ryan Sleevi via Public<br>
<b>Sent:</b> Thursday, April 12, 2018 1:20 PM<br>
<b>To:</b> Jeff Ward <<a href="mailto:jward@bdo.com">jward@bdo.com</a>>; CA/Browser Forum Public Discussion List <<a href="mailto:public@cabforum.org">public@cabforum.org</a>><br>
<b>Subject:</b> Re: [cabfpub] Applicability of BRs to Client Authentication certificates<o:p></o:p></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal">On Thu, Apr 12, 2018 at 1:11 PM, Jeff Ward via Public <<a href="mailto:public@cabforum.org" target="_blank">public@cabforum.org</a>> wrote:<o:p></o:p></p>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-top:5.0pt;margin-right:0in;margin-bottom:5.0pt">
<div>
<div>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">I am submitting this request on behalf of the WebTrust Task Force.  We would like to seek clarification
 from the CA/B Forum on the applicability of the Baseline Requirements for certificates that chain to a Root in a browser root store, which are only used for TLS Web Client Authentication (i.e. the EKU includes 1.3.6.1.5.5.7.3.2 and does not include 1.3.6.1.5.5.7.3.1).</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">Section 1.1 Overview states, in part, “These Requirements only address Certificates intended to be used
 for <b>authenticating servers</b> accessible through the Internet”.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">This suggests that the BRs only apply to TLS Web Server Authentication.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">However, Section 7.1.2.3.f, Subscriber Certificate (extKeyUsage) states, in part, “Either the value id-kp-serverAuth
 [RFC5280] or id-kp-clientAuth [RFC5280] or both values MUST be present.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">This is quite clear that they do apply to certificates that are only for TLS Web Client Authentication,
 but this contradicts the Overview section.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">Additionally, the word ‘server’ is used throughout the BRs without an actual definition, and it is therefore
 unclear of the applicability of these sectiosn to certificates that are only for TLS Web Client Authentication.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">For example, Section 7.1.4.2.1 Subject Alternative Name Extension:</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">“Certificate Field: extensions:subjectAltName</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">Required/Optional: Required</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">Contents: This extension MUST contain at least one entry. Each entry MUST be either a dNSName containing
 the Fully-Qualified Domain Name or an iPAddress containing the IP address of <b>
a server</b>. The CA MUST confirm that the Applicant controls the Fully-Qualified Domain Name or IP address or has been granted the right to use it by the Domain Name Registrant or IP address assignee, as appropriate. Wildcard FQDNs are permitted.”</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">It is ambiguous as to whether this apples to a Client Authentication-only certificate. Additionally,
 there are questions on whether additional entry types (for example, DirName) may be acceptable in a Client Authentication-only certificate.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">Our ask of the CA/B Forum would be to:</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto"><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif"> </span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">
<span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">1.</span><span lang="EN-GB" style="font-size:7.0pt;font-family:"Times New Roman",serif">   
</span><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">Clarify whether or not the BRs apply to Client Authentication-only certificates, and update the BRs to explicitly state whether they apply or don’t.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.5in">
<span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">2.</span><span lang="EN-GB" style="font-size:7.0pt;font-family:"Times New Roman",serif">   
</span><span lang="EN-GB" style="font-size:9.0pt;font-family:"Verdana",sans-serif">If they do apply, then to update the BRs to ensure there is no ambiguity between a ‘server’ and a ‘client’, and if any updates need to be made to address different requirements
 for Client Authentication-only certificates.</span><o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.25in">
 <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Thank you for your assistance.<o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto;margin-left:.25in">
 <o:p></o:p></p>
<p class="MsoNormal" style="mso-margin-top-alt:auto;mso-margin-bottom-alt:auto">Jeff<o:p></o:p></p>
</div>
</div>
</blockquote>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Hi Jeff,<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">To make sure I understand this feedback - do you believe this same confusion exists if we ignore 7.1.2.3.f? That is, I'm trying to understand if that is the *source* of the confusion, or merely contributing to it. If there are other contributing
 factors that suggest client scope, could you clarify?<o:p></o:p></p>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
<br>
<br>
<span style="FONT-SIZE: 10pt; FONT-FAMILY: "Calibri","sans-serif"; COLOR: black; mso-fareast-font-family: Calibri; mso-fareast-theme-font: minor-latin; mso-bidi-font-family: "Times New Roman"; mso-ansi-language: EN-US; mso-fareast-language: EN-US; mso-bidi-language: AR-SA"><strong><em>BDO
 USA, LLP, a Delaware limited liability partnership, is the U.S. member of BDO International Limited, a UK company limited by guarantee, and forms part of the international BDO network of independent member firms.
<br>
<br>
BDO is the brand name for the BDO network and for each of the BDO Member Firms.<br>
<br>
IMPORTANT NOTICES<br>
<br>
The contents of this email and any attachments to it may contain privileged and confidential information from BDO USA, LLP. This information is only for the viewing or use of the intended recipient. If you are not the intended recipient, you are hereby notified
 that any disclosure, copying, distribution or use of, or the taking of any action in reliance upon, the information contained in this e-mail, or any of the attachments to this e-mail, is strictly prohibited and that this e-mail and all of the attachments to
 this e-mail, if any, must be immediately returned to BDO USA, LLP or destroyed and, in either case, this e-mail and all attachments to this e-mail must be immediately deleted from your computer without making any copies hereof. If you have received this e-mail
 in error, please notify BDO USA, LLP by e-mail immediately.</em></strong></span><br>
<br>
</body>
</html>